ලෝකයේ සෑම රටකම පාහේ නිදහසේ ප්රවේශ විය හැකි දත්ත සමුදායන් සොයා ගැනීම ගැන මම බොහෝ දේ ලියමි, නමුත් රුසියානු දත්ත සමුදායන් පිළිබඳ කිසිදු ප්රවෘත්තියක් පොදු වසමේ ඉතිරි වී නොමැත. මෑතකදී වුවද ලන්දේසි පර්යේෂකයෙකු විවෘත දත්ත සමුදායන් 2000 කට වඩා සොයා ගැනීමට බිය වූ "ක්රෙම්ලිනයේ අත" ගැන.
රුසියාවේ සෑම දෙයක්ම විශිෂ්ටයි යන වැරදි වැටහීමක් තිබිය හැකි අතර විශාල රුසියානු අන්තර්ජාල ව්යාපෘතිවල හිමිකරුවන් පරිශීලක දත්ත ගබඩා කිරීම සඳහා වගකිවයුතු ප්රවේශයක් ගනී. මෙම උදාහරණය භාවිතා කරමින් මෙම මිථ්යාව නිදොස් කිරීමට මම ඉක්මන් වෙමි.
රුසියානු ඔන්ලයින් වෛද්ය සේවාව DOC+ පැහැදිලිවම ClickHouse දත්ත ගබඩාවෙන් ප්රසිද්ධියේ ලබා ගත හැකි ප්රවේශ ලොග වලින් ඉවත් වීමට සමත් විය. අවාසනාවකට මෙන්, ලොග් කෙතරම් විස්තරාත්මකද යත්, සේවාවේ සේවකයින්, හවුල්කරුවන් සහ සේවාදායකයින්ගේ පුද්ගලික දත්ත කාන්දු වීමට ඉඩ තිබුණි.
පළමු දේ මුලින්ම...
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Скриншоты взяты либо из открытых источников, либо были предоставлены автору анонимными доброжелателями.
මා සමඟ, ටෙලිග්රාම් නාලිකාවේ හිමිකරු ලෙස "", නිර්නාමිකව සිටීමට කැමති නාලිකා පාඨකයෙක් සම්බන්ධ වී පහත සඳහන් දේ වාර්තා කළේය:
අන්තර්ජාලයේ විවෘත ClickHouse සේවාදායකයක් සොයා ගන්නා ලදී, එය සමාගමේ doc+ ට අයත් වේ. සේවාදායකයේ IP ලිපිනය docplus.ru වසම වින්යාස කර ඇති IP ලිපිනයට ගැලපේ.
විකිපීඩියාවෙන්: DOC+ (New Medicine LLC) යනු ටෙලිමෙඩිසින් ක්ෂේත්රයේ සේවා සපයන රුසියානු වෛද්ය සමාගමකි, නිවසේදී වෛද්යවරයකු ඇමතීම, ගබඩා කිරීම සහ සැකසීම පුද්ගලික වෛද්ය දත්ත. සමාගම Yandex වෙතින් ආයෝජන ලබා ගත්තේය.
එකතු කරන ලද තොරතුරු අනුව විනිශ්චය කිරීම, ClickHouse දත්ත සමුදාය සැබවින්ම නිදහසේ ප්රවේශ විය හැකි අතර, IP ලිපිනය දන්නා ඕනෑම කෙනෙකුට එයින් දත්ත ලබා ගත හැකිය. මෙම දත්ත අනුමාන වශයෙන් සේවා ප්රවේශ ලොග බවට පත් විය.
ඉහත පින්තූරයෙන් ඔබට පෙනෙන පරිදි, www.docplus.ru වෙබ් සේවාදායකය සහ ClickHouse සේවාදායකය (වරාය 9000) ට අමතරව, MongoDB දත්ත සමුදාය එකම IP ලිපිනය මත විවෘතව එල්ලී ඇත (පෙනෙන ආකාරයට කිසිවක් නොමැත. රසවත්).
මම දන්නා පරිදි, ClickHouse සේවාදායකය සොයා ගැනීමට Shodan.io සෙවුම් යන්ත්රය භාවිතා කරන ලදී (පමණක් මම වෙනම ලිව්වා) විශේෂ පිටපතක් සමඟ ඒකාබද්ධව , එය සත්යාපනය නොමැතිකම සඳහා සොයාගත් දත්ත සමුදාය පරීක්ෂා කර එහි සියලුම වගු ලැයිස්තුගත කළේය. ඒ වන විට ඔවුන් 474 ක් සිටි බව පෙනේ.
ප්රලේඛනයෙන් අපි දනිමු පෙරනිමියෙන් ක්ලික්හවුස් සේවාදායකය 8123 වරායේ HTTP ට සවන් දෙයි. එමනිසා, වගු වල අඩංගු දේ බැලීමට, මෙම SQL විමසුම වැනි දෙයක් ධාවනය කිරීම ප්රමාණවත්ය:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы]ඉල්ලීම ක්රියාත්මක කිරීමේ ප්රතිඵලයක් ලෙස, බොහෝ විට ආපසු ලබා දිය හැකි දේ පහත තිර රුවෙහි දක්වා ඇත:
තිරපිටපතෙන් එය ක්ෂේත්රයේ තොරතුරු බව පැහැදිලිය ශීර්ෂ පරිශීලකයාගේ පිහිටීම (අක්ෂාංශ සහ දේශාංශ), ඔහුගේ IP ලිපිනය, ඔහු සේවාවට සම්බන්ධ වූ උපාංගය පිළිබඳ තොරතුරු, OS අනුවාදය ආදිය පිළිබඳ දත්ත අඩංගු වේ.
SQL විමසුම සුළු වශයෙන් වෙනස් කිරීමට යමෙකුට සිදු වූයේ නම්, උදාහරණයක් ලෙස, මේ වගේ:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы] WHERE REQUEST LIKE ‘%25Profiles%25’
එවිට සේවකයින්ගේ පුද්ගලික දත්ත වලට සමාන යමක් ආපසු ලබා දිය හැකිය, එනම්: සම්පූර්ණ නම, උපන් දිනය, ස්ත්රී පුරුෂ භාවය, බදු හඳුනාගැනීමේ අංකය, ලියාපදිංචිය සහ සැබෑ පදිංචි ස්ථානය, දුරකථන අංක, තනතුරු, ඊමේල් ලිපින සහ තවත් බොහෝ දේ:
ඉහත තිර පිටපතේ ඇති සියලුම තොරතුරු 1C: Enterprise 8.3 හි මානව සම්පත් දත්ත වලට බෙහෙවින් සමාන ය.
පරාමිතිය දෙස සමීපව බැලීම API_USER_TOKEN මෙය "වැඩ කරන" ටෝකනයක් යැයි ඔබ සිතනු ඇත, එමඟින් පරිශීලකයා වෙනුවෙන් ඔහුගේ පුද්ගලික දත්ත ලබා ගැනීම ඇතුළුව විවිධ ක්රියා සිදු කළ හැකිය. නමුත් ඇත්ත වශයෙන්ම මට මෙය පැවසිය නොහැක.
මේ මොහොතේ ClickHouse සේවාදායකයට තවමත් එම IP ලිපිනයෙන් නිදහසේ ප්රවේශ විය හැකි බවට තොරතුරු නොමැත.
මූලාශ්රය: www.habr.com